Onderzoekers hebben spionagemalware ontdekt die zich via usb-sticks kan verspreiden en wereldwijd honderden systemen heeft besmet, waaronder in Nederland. Dat laat antivirusbedrijf Kaspersky in een analyse weten. De Crimson remote access trojan (RAT) die de aanvallers gebruiken om slachtoffers te bespioneren is al geruime tijd bekend, maar het gedeelte dat voor de verspreiding via usb wordt gebruikt is nooit publiek besproken, aldus de virusbestrijder.
De aanval begint, net als veel andere aanvallen, met een e-mail. Het bericht heeft als bijlage een Microsoft Office-document dat van een kwaadaardige macro is voorzien. Wanneer de gebruiker de macro inschakelt wordt de "thin client" van de Crimson RAT geïnstalleerd. Daarmee kunnen de aanvallers informatie over het systeem verzamelen, screenshots maken en aanvullende componenten uitvoeren.
Eén van deze componenten is de usb-worm, die op het systeem aangesloten usb-sticks infecteert en bestanden van usb-sticks kan stelen. Daarnaast kan de usb-worm de thin client op nog niet besmette systemen installeren. Om zich via usb-sticks te kunnen verspreiden maakt de worm gebruik van een eenvoudig truc. Zodra een schone usb-stick op een besmet systeem wordt aangesloten maakt de worm alle aanwezige mappen onzichtbaar en plaatst vervolgens gelijknamige exe-bestanden in de root directory, alleen dan voorzien van een map-icoon.
De gebruiker denkt hierdoor dat hij een map opent, terwijl in werkelijkheid de usb-worm wordt gestart. Om het slachtoffer niets te laten vermoeden opent de malware ook de verborgen gemaakte map. Eenmaal actief controleert de usb-worm of de Crimson RAT al op het systeem draait. Is dat niet het geval, dan zal de usb-worm de thin client installeren. Vervolgens wordt er een registersleutel aangemaakt die ervoor zorgt dat de usb-worm bij een herstart van het systeem wordt geladen. De usb-worm kan zo weer nieuw aangesloten usb-sticks besmetten en aanwezige bestanden stelen. Van usb-sticks gestolen bestanden worden op het al besmette systeem bewaard, waar ze door de aanvallers zijn te downloaden.
Kaspersky ontdekte tussen juni 2019 en juni 2020 meer dan duizend systemen die met de betreffende Crimson RAT waren besmet. In 87 procent van de gevallen ging het om infecties met de usb-worm. Ook in Nederland laat het antivirusbedrijf besmettingen zien. De meeste infecties werden in Afghanistan, India, Pakistan, Duitsland en Iran waargenomen.
Deze posting is gelocked. Reageren is niet meer mogelijk.